Uefi-Ca-Zertifikatbereich - Dell Poweredge R760Xd2 Installations- Und Servicehandbuch

Tabelle 66. Details zu Systemsicherheit (fortgesetzt)
Option
Benutzerdefinierte Einstellungen
für die Richtlinie zum sicheren
Start
Intel Trust Domain Extension
(TDX)
TME-MT/TDX-Schlüsselteilung
auf Wert ungleich Null
TDX Secure Arbitration Mode
(SEAM)-Loader
Intel(R) Vor-Ort-Scan

UEFI-CA-Zertifikatbereich

Beschreibung
2. KEK-Datenbankeinträge (Key Exchange Key)
3. Einträge in der Datenbank für autorisierte Signaturen (db)
Die oben genannten Optionen werden in den folgenden Feldern beschrieben:
● Typ
● Aussteller
● Betreff
● GUID des Signatureigentümers
4. Verbotene Einträge in der Signaturdatenbank (dbx)
Konfiguriert die Secure Boot Custom Policy. Um diese Option zu aktivieren, stellen
Sie die sichere Startrichtlinie auf Custom (Benutzerdefinierte) Option. Im Bildschirm
Benutzerdefinierte Einstellungen für die Richtlinie zum sicheren Start sind die
folgenden Optionen verfügbar:
1. Plattformschlüssel
2. Key Exchange Key (KEK) Database
3. Authorized Signature Database (db)
4. Forbidden Signature Database (dbx)
5. Alle Richtlinieneinträge löschen (PK, KEK, db und dbx)
6. Standard-Richtlinieneinträge wiederherstellen (PK, KEK, db und dbx)
7. Exportieren von Firmware-Hash-Werten
Intel Trust Domain Extension (TDX) ist eine hardwarebasierte vertrauenswürdige
Ausführungsumgebung. Sie wurde entwickelt, um sensible Daten und Anwendungen in der
Vertrauensdomäne (TD) oder der virtuellen Maschine (VM) vor unbefugtem Zugriff zu
schützen. Die Speicherverschlüsselung muss auf Mehrere Schlüssel eingestellt sein, damit
TDX aktiviert werden kann. Diese Option ist standardmäßig auf Deaktiviert festgelegt.
ANMERKUNG: Um die TDX-Option zu aktivieren, muss der Prozessor TDX-fähig sein,
die Speicherbestückung muss mit der SGX-Einstellung kompatibel sein (mindestens x8
identisches DIMM1 zu DIMM8 pro CPU-Sockel, keine Unterstützung für Konfigurationen
mit persistentem Speicher)
Wenn der Wert für die TME-MT/TDX-Schlüsselaufteilung auf einen Wert ungleich Null gesetzt
ist, wie 1, 2, 3, 4, 5 oder 6, wird die Anzahl der Bits festgelegt, die von TDX verwendet werden,
während der Rest von TME-MT genutzt wird. Die Standardeinstellung ist 1.
Dieses SW-Modul wird in einem neuen CPU Secure Arbitration Mode (SEAM) als Peer-VMM
(Virtual Machine Manager) ausgeführt. Dieses SEAM-Modul unterstützt den TD-Einstieg
und -Ausstieg über die vorhandene Virtualisierungsinfrastruktur. Sie ist standardmäßig auf
Deaktiviert festgelegt.
Die Intel(R) Vor-Ort-Scan-Funktion ermöglicht es Software, Prozessorkerne auf latente Fehler
zu scannen. Der Scan kann vor Ort durchgeführt werden, nachdem der Server bereitgestellt
wurde. Wenn diese Option aktiviert ist, konfiguriert das BIOS alle Prozessoren so, dass
sie auf Software-Scananfragen reagieren. Wenn diese Einstellung deaktiviert ist, reagieren
die Prozessoren nicht auf Software-Scananfragen. Sie ist standardmäßig auf Deaktiviert
festgelegt.
Dieses Feld gibt an, wie Secure Boot das UEFI-CA-Zertifikat in der Authorized
Signature Database (db) verwendet. Wenn dieses Feld auf Gerätefirmware und BS
eingestellt ist, wendet Secure Boot das UEFI-CA-Zertifikat auf alle Images an, einschließlich
Gerätefirmware, Betriebssystemladeprogramme und UEFI-Anwendungen. Wenn dieses Feld
auf Gerätefirmware eingestellt ist, wendet Secure Boot das UEFI-CA-Zertifikat nur auf
Gerätestart-Firmware an, z. B. UEFI-Treiber für RAID- oder NIC-Geräte. In diesem Fall werden
Betriebssystemladeprogramme und UEFI-Anwendungen nicht ausgeführt, wenn sie nur durch
den UEFI-CA-Schlüssel signiert sind, obwohl sich das UEFI-CA-Zertifikat in der db befindet.
Dieses Feld kann nur konfiguriert werden, wenn die Richtlinie für den sicheren Start auf
Custom (benutzerdefiniert) eingestellt ist. Andernfalls wird der Wert dieses Felds automatisch
basierend auf der Einstellung „Secure Boot Policy" ausgewählt.
Vor-Betriebssystem-Verwaltungsanwendungen 81